多级安全数据库BLP模型分析与改进
BLP模型的研究与并发控制改进
体 非 法 读 取 高 密 级 的 客体 信 息 ,但 是 却 为 其 篡 改 高 密 级 的 客 体 信息提供了可能。
F ir g通 过 定 义 非 活 动 的 客 体 不 可 存 取 法 则 和 新 创 建 的 eet a 客 体 重 写 性 法 则 , 然从 系 统 安 全 性 角 度 对 B P模 型 有 所 改 ]虽 L 进 , 并未很好地解决完整性问题。 但 Di i t L将 B P模 型 的 强 制 访 问 控 制 规 则 和 Bb Vo L ia模 型 的 强 制 访 问 控 制 规 则 相 结 合 提 出 的安 全 系统 模 型 AS OS,改 进 了 B P模 型 的 完 整 性 策 略 , L 使其 达 到 A1级 的安 全 标 准 , 模 型 但 却 有 可 能 导 致某 些合 法 的访 问请 求 被 拒 绝 。
为 ” 念 的 改进 的 MB P模 型 , 概 L 并对 MB P模 型 并发 控 制 能 力进 行 了有 效 性 探 讨 。 L 关 键 词 : 全 系统 , L , 处理 机 , 安 BP多 并发 控 制 , 事务 行 为
Absr t t ac As kn o ut-l e s u i c a id f m l ev l ec r y om p e o i t utr m del P s h m o t omm o y s d. , BL i te s c nl u e Bas d a alzn t e e on n y ig h BLP ood r —
体 和客 体 的安 全 标 签来 决 定 访 问行 为是 否被 允许 。 B P模 型 将 系 统 状 态 定 义 为一 个 四元 组 ( , fH) L b M,, 。其 中
b ( x A) 表示 在某 个 特 定状 态 下 主 体 对 客 体 的 访 问 模 式 ; S Ox M 是 访 问控 制 矩 阵 ;表 示 访 问 类 函数 ,该 函数 由主 体 的密 级 函 f 数 f和 客 体 的密 级 函数 f构成 ,记 为 f ( , ) 由主 体 的密 级 。 0 _ff , 。o f s和范畴 f s组成 , 由客体的密级 fo 和范 畴 f o 组成 ; 1 ) ( 3 ) ( f 0 2 ) ( ) (
BLP安全模型安全分析
BLP安全模型安全分析BLP(Biba-LaPadula)安全模型是一种常用的用于安全分析的数学模型。
它广泛应用于计算机系统和网络安全领域,用于评估和验证系统的机密性、完整性和可用性。
本文将从BLP模型的基本概念开始,介绍其安全策略和安全性质,然后讨论安全分析的方法和挑战。
BLP模型的基本概念包括:主体(Subjects)、客体(Objects)和安全级别(Security Levels)。
主体指系统中的用户、程序或进程,客体指系统中的资源、文件或数据。
安全级别用于表示主体和客体的机密性(Confidentiality)和完整性(Integrity)要求。
机密性级别(Confidentiality Level)用于标识主体和客体的访问控制策略,完整性级别(Integrity Level)用于标识主体和客体的修改控制策略。
在BLP模型中,安全策略用于描述主体对客体的访问和修改规则。
最常用的策略是禁止泄露机密性信息,也称为不可写低(No Write Down)策略和禁止篡改完整性信息,也称为不可写高(No Write Up)策略。
该策略确保主体只能读取和修改比其安全级别低的客体,以防止信息的泄露和篡改。
BLP模型还定义了几个安全性质,用于评估系统的安全性。
不可泄漏性(No Leakage)要求系统不能从高级主体泄漏信息给低级主体。
不可篡改性(No Tampering)要求系统不能被低级主体篡改高级主体的信息。
不可写入信任性(No Write Down Trust)要求系统不能将不可信的信息写入可信的客体。
不可写入冲突性(No Write Up Conflict)要求系统中的任何主体不得修改高于其安全级别的客体。
安全分析的目标是验证系统是否满足BLP模型的安全性质。
安全分析的方法通常包括构建系统的安全状态图和进行形式化验证。
安全状态图显示了系统中主体和客体之间的访问和修改关系。
通过对状态图进行分析,可以识别潜在的安全漏洞和风险。
BLP安全模型的改进设计方案
BLP安全模型的改进设计方案
申翀;马季兰
【期刊名称】《太原理工大学学报》
【年(卷),期】2008(000)0S2
【摘要】简要介绍了角色安全策略模型RBAC和BLP,随后对原模型所存在的缺陷进行了总结分析,在引入可信度、客体域和完整性规则的前提下给出了详细的解决方案,最后给出了一个基于角色管理的扩展型BLP安全模型的相关定义和规则。
【总页数】1页(P)
【作者】申翀;马季兰
【作者单位】太原理工大学计算机软件学院
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.局域网络中的L-BLP安全模型 [J], 司天歌;张尧学;戴一奇
2.基于BLP的安全操作系统信息安全模型 [J], 黄益民;王维真
3.基于BLP安全模型的嵌入式硬件防火墙研究 [J], 刘丽萍;王强;王霖
4.对BLP模型的改进--多级安全模型BLP在办公自动化中的应用探讨 [J], 崔树芹;曹玉枝
5.BLP安全模型及其发展 [J], 王昌达;鞠时光
因版权原因,仅展示原文概要,查看原文内容请购买。
BLP模型
BLP 模型BLP 模型对安全性进行分级,用格作为描述系统安全性级别的数学工具,由函数:F S O L C ⋃→⨯产生主体和客体的安全级别,其中,S 和O 分别是主体和客体的集合,L 是格结构,C 是安全级别的集合。
BLP 模型抽象出的访问权限有四种,分别是只可读re 、只可写a 、可读写w 和不可读写(可执行)e (记作{, , , }R re a w e =)。
BLP 模型也涉及主体、客体、访问矩阵等概念,但是BLP 模型与HRU 模型之间存在明显的区别,如主体和客体不再随着系统的状态变化:BLP 模型是一个状态机模型,包含状态的集合V (其元素用二元组(, )F B 表示)、一个初始状态0v (0v V ∈)、请求的集合{, , |, , }Q s o r s S o O r R =〈〉∈∈∈以及一个转移函数: T V R V ⨯→。
当请求被执行,T 改变系统的状态,R 或者F 发生变化。
BLP 模型提出了系统安全的充要条件是满足以下两个公理(特性):特性1 简单安全性(ss-性质):状态v 满足简单安全性,当且仅当对于s S ∀∈,o O ∀∈,[,]()()r A s o F s F o ∈⇒>;特性 2 星号安全性(*-性质):状态v 满足星号安全性,当且仅当对于s S ∀∈,o O ∀∈,[,]()()w A s o F o F s ∈⇒>。
符号“>”表示前者支配后者,定义为:定义(支配):安全级别(, )L C 支配安全级别(', ')L C ,当且仅当'L L ≤,'C C ⊆。
BLP 模型的原理总结为:不能向上读,不能向下写,即主体不能读安全级别比自己高的客体,不能写安全级别比自己低的客体。
定义(自主安全性,ds-特性):状态v 满足自主安全性,当且仅当对于任意的(, , )i j s o x Q ∈,ij x M ∈。
ss-性质和*-性质处理的是强制访问控制,而ds-特性处理自主访问控制。
BLP模型
BLP模型(Bell-La Padula模型)是对安全策略形式化的第一个数学模型,是一个状态机模型,用状态变量表示系统的安全状态,用状态转换规则来描述系统的变化过程。
一、模型的基本元素模型定义了如下的集合:S={s1,s2,…,sn} 主体的集合,主体:用户或代表用户的进程,能使信息流动的实体。
O={o1,o2,…,om} 客体的集合,客体:文件、程序、存贮器段等。
(主体也看作客体S O)C={c1,c2,…,cq} 主体或客体的密级(元素之间呈全序关系),c1≤c2≤…≤cq.K={k1,k2,…,kr} 部门或类别的集合A={r,w,e,a,c} 访问属性集,其中,r:只读;w:读写;e:执行;a:添加(只写);c:控制。
RA={g,r,c,d} 请求元素集g:get(得到),give(赋予)r:release(释放),rescind(撤销)c:change(改变客体的安全级),create(创建客体)d:delete(删除客体)D={yes,no,error,?} 判断集(结果集),其中yes:请求被执行;no:请求被拒绝;error:系统出错,有多个规则适合于这一请求;?:请求出错,规则不适用于这一请求。
μ={M1,M2,…,Mp} 访问矩阵集,其中元素Mk是一n×m的矩阵,Mk的元素Mij A。
F=CS×CO×(PK)S×(PK)O,其中,CS={f1|f1:S→C} f1给出每一主体的密级;CO={f2|f2:O→C} f2给出每一客体的密级;(PK)S={f3|f3:S→PK} f3给出每一主体的部门集;(PK)O={f4|f4:O→PK} f4给出每一客体的部门集。
其中,PK表示K的幂集(PK=2K)。
F的元素记作f=(f1,f2,f3,f4),给出在某状态下每一主体的密级和部门集,每一客体的密级和部门集,即主体的许可证级(f1,f3),客体的安全级(f2,f4)。
一种改进的BLP模型
仅 当 O支配 S ( 中 W表示 写操作 ) 。 其 。 安全属性 又叫 R D, 即 主 体 只能 读 取 比 自己
安全 等 级 低 的客 体 信息 ;星号 安 全 属性 又 叫 wU, 即 主体 只能 向 比 自己 安 全 等 级 高 的 客体 进 行 写 操
作 。两 条 规 则 一 起 保 证 系统 的读 和 写 操 作 不 会 引 起 信 息从 高 安 全 级 向低 安 全 级 的级/ 须知 X 请求集得 序列 Y 判定集的 序列 信 息 的 向量 集
M 访 问控 制 矩 阵 R A 请 求 元 素 集 集 R 请 求 集
中国 墙 模 型 、基 于 角色 的 访 问 控 制 模 型 和 基 于 任
务 的 访 问控 制 模 型 等 ,但 总 体 上 这 些 模 型 可 以 大 致 划 分为 两 类 , 一 类就 是访 问控制 模 型 , 要 通 第 主 过 控 制 主 体 对 客体 的访 问来 达 到 保 护 客体 和 客体 上 信 息 的安 全 ;第二 类 是 信 息 流 模 型 ,其 主 要 控 制 信 息 流 的 方 向 ,使 其 信 息 避 免 流 向不 安 全 的其 他 对 象 ,从 而保 证 信 息 的 安全 可 控 。B P模 型就 L 是 一 种 比较 经典 的 信 息流 模 型 ,本 文 首 先 对 B P L 模 型 进 行 了简 单 介 绍 ,接 着对 B P模型 进 行 了分 L 析 ,发现 其 还 存 在 一 定 的缺 点 和 局 限 ,最 后本 文
信 息 的流 动 方 向 ,在 理论 上 很 好 的保 证 了信 息 的
XOXA ,表 示在 状 态 v中一 个 主体 用 什 么 样 的 )
0 引言
安 全 的 模 型 是 安 全 策 略 的 形 式 化 表 达 ,是 建 立 安 全 系统 的理 论 基 础 ,也 是 对 系统 进 行 安 全 评
简述BLP模型
简述BLP模型BLP模型简介BLP模型从“访问控制”的角度研究如何既保证主体能有效地访问客体,又得系统的安全性不致遭到破坏的性质和规则,是一种在计算机系统内实施多极安全策略和自主安全策略的访问控制模型,通过制定主体对客体的访问规则和操作权限来保证系统的安全性。
从本质上来说.BLP模型是一个状态机模型,它形式化定义系统、系统状态以及系统状态间的转换规则;定义安全的概念,并制定了一组安全特性。
以此对系统状态和状态转换规则进行限制和约束.使得对于一个系统,如果它的初始状态是安全的,并且所经过的一系列的规则都保持安全特性,那么可以证明该系统是安全的。
BLP模型定义了系统、系统状态、状态间的转换规则,安全概念、制定了一组安全特性,对系统状态、状态转换规则进行约束,如果它的初始状态是安全的,经过一系列规则都是保持安全的,那么可以证明该系统是安全的。
BLP模型的基本安全策略是“下读上写”,即主体对客体向下读、向上写。
主体可以读安全级别比他低或相等的客体,可以写安全级别比他高或相等的客体。
“下读上写”的安全策略保证了数据库中的所有数据只能按照安全级别从低到高的流向流动,从而保证了敏感数据不泄露。
BLP模型存在的主要问题(1)理论体系的争议:文献Mclean J A comment on the basic security theorem of Bell and LaPadula认为BLP模型对于实际系统的设计与实现指导意义不大.由于没有提供安全条件的语义说明,模型中的基本安全定理(BST)并不能对给定的任意属性集提供类似证明。
文献Mclean J A comment on the basic security theorem of Bell and LaPadula与Landwehr CE.Heitmeyer CL.McLean J A security model for military message systems还认为,仅仅通过定义安全状态来定义安全系统是不够的,需要考虑状态的转换。
BLP安全模型分析与改进
BLP安全模型分析与改进BLP安全模型分析与改进作者:刘天鹏桂林电子科技大学计算机与控制学院1数据库安全系统的设计目标数据库系统主要是为用户提供方便安全的信息和数据服务,实现信息数据的共享。
设计安全的数据库系统,是要合理有效地解决数据库中数据信息的共享问题。
在安全的数据库中,既要保证授权的合法用户对数据的有效存取,又要能严格拒绝非法用户的攻击企图。
具体地说,数据库安全系统的设计目标主要有以下3个方面。
(1)数据的可用性当系统授权的合法用户申请存取有权存取的数据时,安全系统应该尽量减小对合法操作的影响。
换句话说,采用的安全机制不能明显降低数据库系统的操作性能。
(2)数据的完整性数据的完整性指数据的正确性、一致性和相容性。
系统只允许授权的合法用户存取数据库中的数据信息,并且以不破坏数据的完整性为前提。
同时,系统应该杜绝非法用户对数据信息进行任何存取操作,主要包括窃取和破坏。
由于多个程序并发存取同一个数据库中的数据,可能会造成数据的不一致性。
因此,安全系统要具有保证数据一致性的功能。
简单地说就是,数据库系统阻止用户写不正确的信息。
(3)数据的保密性安全系统应该提供一个高强度的加密方案,对数据库中的机密数据进行加密处理。
只有当系统的合法用户访问有权访问的数据时,系统才把相应的数据进行解密操作;否则,系统应保持机密数据的加密状态,以防止非法用户窃取到明文信息,对系统进行攻击。
简单地说就是,数据库系统阻止用户读到他不应该读到的信息。
2数据库安全模型BLP模型BLP模型是一种访问控制模型,它通过制定主体对客体的访问规则和操作权限来保证系统的安全性。
BLP模型中基本的安全控制方法有两种。
一种是自主访问控制(DAC):它是一种普遍采用的访问控制手段。
它使用户可以按自己的意愿对系统参数作适当修改,以决定哪些用户可以访问他们的系统资源。
这里的“自主”,即资源的所有者可以决定对资源的访问权,而且这种访问权可以按“工作需要”的原则动态地转让和回收。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文献标识码 : A
文章编号 : 1 0 0 6 - 4 3 1 1 ( 2 0 1 3) O 1 — 0 2 0 9 — 0 2
0 引言 自主确定 ,强制访 问控制 的权 限由特定 的安 全管理 员确 随着信息技术特别是计算机 网络 技术 的飞速发展 , 网 定, 由系 统 强 制 实施 。
关键词 :多级安全数据库; B L P模型; 访 问控制
Ke y wo r d s : mu h i - l e v e l s e c u r e d a t a b a s e ; B L P mo d e l ; a c c e s s c o n t r o l
中图分类号 : T P 3 9 2
赵海燕 Z H A O Ha l — y a n ; 赵静 Z HA O J i n g
( 西安通信学院 , 西安 7 1 0 1 0 6 ) ( X i ' a n C o m mu n i c a t i o n I n s t i t u t e , X i ' a n 7 1 0 1 0 6 , C h i n a J
络攻击事件不断增加 ,信息安全越来越 受到人们 的重视。 数据库管理 系统担 负着 大量信息 的管理使命 , 是各类信息 网络 的主要组成部 分, 因此其安全性在整个 网络安 全 中占 有 的 举 足 轻 重 的 地 位 。 多 级 安 全 数 据 库 管 理 系 统 ( Mu l t i l e v e l S e c u r e D a t a b a s e Ma n a g e me n t S y s t e m, M L S / D B MS ) 【 q是指 实现 了强制访 问控制 的数据库 管理 系统 , 它 与普通数 据库 的区别在 于 多级 安全 数据 库 中的数据被 赋 予 了不同的密级 , 同时数据库 的用户也被赋予 了不同的密 级, 只有具有相 应权 限 的用户才能访 问相应 的数据。 1 现有 的 B L P模型 B e l 1 . D . E和 L a P a d u l a 1 9 7 3年提出的著名的 B L P 模型[ 2 1 , 是最早 的一个 完全 的、 形 式化 的多级安全模 型 , 是计 算机 安全理 论研究 的开端 , 当前很 多 M A C模 型都是 对 B L P模 型直接或者间接的改进。 B L P模 型是一个状 态机模 型 ,它形 式化 地定 义 了系 统、 系统状 态以及状 态间的转换规则 , 引入 安全级 的概 念 , 并制定 了一组 安全规 则, 以此对系统状 态和 状态转换规则 进行 限制和 约束。对于 一个 系统 , 如 果它的初始状态 是安 全的 , 并且所 经过 的一 系列 的规则都 保持安 全特 性 , 那么 可以证 明该 系统 是安 全的。 在B L P模 型 中每个 主体具有最 大安全级和 当前安 全 级, 每个客体有一个安 全级。 主体对客体有 四种存取 方式 : 只读 、 只 写、 执行 、 读 写。B L P模 型满足以下三个特性 :
2 B L P模型的改进方案 目前 多数系统 的多级安 全访 问控制还 是在较 粗粒 度 下进行的 , 并且采用“ 向下读 , 向上 写” 的原 则 , 低安全级 主 体 不能读取高密级数据却 可以修 改高密级数据 , 这样敏 感 信 息的机 密性得不到保证。 因此 , 需要进一步 探讨 如何在 更细粒度下有效地实施强制访 问控制。 目前的多级安全数据库在设计时往往给一个用户赋 一 个 密级和 一个范围 , 但是一般用户“ 读” 需求要 比“ 写” 需 求 大得多 , 所 以给 它们赋 一个 密级是不 合理 的, 同样 “ 读” 与 “ 写” 的范 围也 不应该相 同 , 如 果保持 目前 B L P模 型的 “ 向 下读 , 向上 写” 策 略不改变 , 系统的功能将受到 限制 , 因此, 需要将读写权 限和读写范围分开来提高系统 的可用性。 2 . 1密级 的改进 经 由防火墙 的网络访 问,到达 防火 墙 系统后 ,安全 管理员根据 防火墙 系统 的实际 安全策略 , 通过客户端管理程序 , 对网络实体加以标记。如 果把最高 密级和最 低密级 分别记 为 H和 L ,密级就 可 以用 区间『 I J , H ] 来表示 。例如 , 通常 的划分就可 以用【 公开 ) , 绝密( T S ) ] 来表示。 分 配给用户 的密级 , 反 映了防火墙 系统对用户 的置信 度 。现有多级安 全模型一 般采用 给每个 用户 分配一 个密 级, 读 写采用统一 密级 , 这种做 法显然不够合理。 因此 , 需 要将用户 的读 写权 限分开 , 分别标记 为 C r ( 读权 限 ) 和C w ( 写权 限 ) 。显然有 C r , C w∈[ L , H 】 , 为了防止低 密级用户恶 必须遵 守约束条 件 : 用 户的 写权 限不得 ① 简单安 全特 性( S S 一 特性 ) : 当且 仅 当一 个主体 S的 意篡 改敏感信息 , 安全级 别 C r >C y w o 2 _ 2范 围的改进 在 多级安全防火墙 系统 中用户 的权 才具有 对客体 0的“ 读” 访 问权 限 : S 可读 o < = > C s >C i o
Va l u e E
多级 安全数 据库 B L P模型分析 与改进
An a l y s i s a n d I mp r o v e me n t o f Mu l t i l e v e l S e c u r e Da t a b a s e BLP Mo d e l
摘要 : 针对 目前多级安全数据库 B L P 模 型的缺 陷, 提 出了 对 其密级、 范围和访 问规则的改进方法 , 以提 高数据库的安全性 。
Ab s t r a c t :I n v i e w o f t l l e d e f e c t s o f c u r r e n t mu l t i — l e v e l s e c u r e d a t a b a s e B L P mo d e 1 .i mp r o v e d me t } l o d s o f i t s s e c u i r t y c l a s s i i f c a t i o n . s c o p e a n d a c c e s s ol r e s we r e p r o p o s e d , i n o r d e r t o i mp r o v e t h e s e c u r i t y o f he t d a t a b a s e .